这是我参与「第五届青训营」伴学笔记创作活动的第 11天。
企业的信息安全体系是非常庞大的,任何一个环节都可能会出现安全风险。其中,黑灰产是安全人员最为关注的一个风险来源,也是历年来导致企业和用户损失最大的因素。
如果某个平台或者业务被黑灰产盯上,可能是因为这个业务存在安全隐患被黑灰产利用,也可能只是被黑灰产当做牟利的垫脚石。对黑灰产的监控和防御,就是要了解他们的意图、手段和行为模式,避免被黑灰产攻击或者利用。
这节课简单介绍国内黑灰产的情况,挑选了几种比较经典的黑产作弊手段进行详细分析,使我对黑灰产这个群体有一定的了解,提升各方面的安全意识,在日后的工作和生活中,多一些安全角度的思考。
国内黑产介绍
一些常见的黑产
- 诈骗 薅羊毛 黄牛 博彩 引流 跑分
- 木马 钓鱼 病毒 拖库 盗号 勒索软件
黑产规模
- 中国“网络黑产”从业人员已超过150万,市场规模已经达到千亿级别 - 中国法院网 2017年
- 截止2022年12月,haveibeenpwned已收录了约120亿条账密数据
- 某互联网风控公司统计,2018年各类黑产攻击(业务层)总数超过300亿次
- 据不完全统计,2019年全网约有5000万左右的非实名手机卡被频繁用于各种欺诈活动
- 据不完全统计,仅中国境内每天约有350-400万个代理IP被用于各类欺诈活动
黑色产业链结构
黑产团伙发展趋势
规模化
- 借助脚本、软件来实现攻击的批量化
- 上游各类资源丰富,大大降低攻击成本同时攻击成功率也比较高
组织化
- 多数以工作室的形式
- 运作团伙内多人分工明确,合作紧密
- 某些黑产甚至成立了公司
平台化
- 今年来出现了很多平台级的爬虫、群控钓鱼、木马、网络攻击、DDoS攻击工具攻击成本大大降低,且难以追查
- 各类平台将黑产手中零散的资源进行整合对黑产
常见黑产技术分析
2018年某银行业务漏洞
- 通过一定技术手段,黑产人员可以跳过实名认证的确认界面,直接办理二类或三类银行卡。
人脸识别对抗
- 从照片到人脸三维建模
地理位置对抗
- 定位打卡
- 摇一摇附近的人
- 出租车抢单某些
- 线下使用的优惠
安全防护体系的建设
事前:
-
情报监控
-
暗网
-
贴吧
-
TG
-
破解论坛
-
SDLC
-
漏洞扫描
事中:
-
渗透测试
-
威胁感知
-
用户行为异常
-
接口数据异常
-
恶意流量
-
检测风控/安全策略
事后:
- 威胁建模
- 攻击溯源
常用手段:
验证码、WAF、安全SDK、IDS、代理检测、DLP、人脸识别、终端安全、防护、黑产名单、行为审计
